公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年3月31日水曜日

基準 3.3

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は基準 3.3です。

Criteria 3.3
Procedures exist to protect against unauthorized logical access to the defined system.

基準 3.3
定義されたシステムへの未承認の論理的アクセスに対する防御の手続が存在する。

Illustrative Controls
Login sessions are terminated after three unsuccessful login attempts.
Terminated login sessions are logged for follow-up by the security administrator.
Virtual private networking (VPN) software is used to permit remote access by authorized users. Users are authenticated by the VPN server through specific “client” software and user ID and passwords.
Firewalls are used and configured to prevent unauthorized access.
Firewall events are logged and reviewed daily by the security administrator.
Unneeded network services (for example, telnet, ftp, and http) are deactivated on the entity’s servers. A listing of the required and authorized services is maintained by the IT department. This list is reviewed by entity management on a routine basis for its appropriateness for the current operating conditions.
Intrusion detection systems are used to provide continuous monitoring of the entity’s network and early identification of potential security breaches.
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. Results and recommendations for improvement are reported to management.

統制の実例
不成功なログインを3回試みた場合、ログインセッションは終了される。
終了されたログインセッションは記録さ れ、セキュリティ管理者によって後に確認される。
仮想プライベートネットワーク(VPN)ソフトウェアは承認されたユーザーによる許可されたリモートアクセスに使用され る。ユーザーは特定のクライアントソフトウェアとIDとパスワードを通してVPNサーバーによって認証される。
ファイアウォールは未承認のアクセスを防 ぐために利用・設定される。
ファイアウォールでの事象は記録され、毎日セキュリティ管理者によって確認される。
不要なネットワークサービス(例:telnet, ftp, http)はサーバーで非稼動にされる。要求・承認されたサービスのリストはIT部門によって維持される。このリストは現状の操作状況の適切性の定常的な 管理として確認される。
侵入検知システムはネットワークと継続的な監視および潜在的なセキュリティー違反の早期特定に利用される。
サードパーティーと定期的なセキュリ ティ確認実施と脆弱性の評価の契約を結ぶ。結果と改善勧告は経営者に報告される。

2010年3月30日火曜日

基準 3.2

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は基準 3.2です。


Criteria 3.2
Procedures exist to restrict physical access to the defined system including, but not limited to, facilities, backup media, and other system components such as firewalls, routers, and servers.

基準 3.2
定義されたシステムに含まれる(が限定されない)、設備、 バックアップ媒体、そしてファイアウォールやルーター、サーバーのような他のシステムコンポーネントへの物理的アクセス制御の手順が存在する。

Illustrative Controls
Physical access to the computer rooms, which house the entity’s IT resources, servers, and related hardware such as firewalls and routers, is restricted to authorized individuals by card key systems and monitored by video surveillance.
Physical access cards are managed by building security staff. Access card usage is logged. Logs are maintained and reviewed by building security staff.
Requests for physical access privileges to the entity’s computer facilities require the approval of the manager of computer operations.
Documented procedures exist for the identification and escalation of potential security breaches.
Offsite backup data and media are stored at service provider facilities.
Access to offsite data and media requires the approval of the manager of computer operations.

統制の実例
ITリソースやサーバー、そして、ファイアウォールやルーターといいった関連ハードウェアを収容したコンピューター ルームへの物理的なアクセスは、カードキーシステムとビデオ監視によって、承認された者に限定される。
物理的アクセスのカードはビルのセキュリティスタッフによって管理さ れる。アクセスカードの利用は記録される。記録は維持され、ビルのセキュリティスタッフによって確認される。
コンピューター設備への特権的な物理的ア クセスの要求コンピューター操作のマネージャーの承認が求められる。
本人確認と潜在的なセキュリティ違反の報告には明文化された手続が存在する。
オフサイトのバックアップデータと媒体 はサービスプロバイダーの設備にて保管される。
オフサイトデータと媒体へのアクセスはコンピューター操作のマネージャーの承認が求められる。

2010年3月29日月曜日

g. システム設定や特権ユーザー機能、マスターパスワード、強力なユーティリティ、そしてセキュリティデバイスへのアクセス の制限

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回はg. システム設定や特権ユーザー機能、マスターパスワード、強力なユーティリティ、そしてセキュリティデバイスへのアクセス の制限です。

g. Restriction of access to system configurations, superuser functionality, master passwords, powerful utilities, and security devices:
g. システム設定や特権ユーザー機能、マスターパスワード、強力なユーティリティ、そしてセキュリティデバイスへのアクセス の制限:

• Hardware and operating system configuration tables are restricted to appropriate personnel.
ハードウェアとオペレーティングシステムの設定テーブルは適切な担当者に限定される。
• Application software configuration tables are restricted to authorized users and under the control of application change management software.
アプリケーションソフトウェアの設定テーブルは承認 されたユーザーとアプリケーション変更管理の制御下に限定される。
• Utility programs that can read, add, change, or delete data or programs are restricted to authorized technical services staff. Usage is logged and monitored by the manager of computer operations.
• データの読み取り、追加、変更、削除可能なユーティリティプログラムは承認されたテクニカル サービススタッフに限定される。使用は記録され、コンピュータ操作の管理者が監視される。
• The information security team, under the direction of the CIO, maintains access to firewall and other logs, as well as access to any storage media. Any access is logged and reviewed quarterly.
CIOの指揮下の情報セキュリティーチームが、あらゆる保存媒体へのアクセスと同様に、ファイアウォー ルや他の記録へのアクセスを維持する。あらゆるアクセスは記録され、四半期ごとに確認される。
• A listing of all master passwords is stored in an encrypted database and an additional copy is maintained in a sealed envelope in the entity safe.
全てのマスターパスワードのリストは暗号化された データベースに保管され、追加のコピーは金庫にて封筒に封入され維持される。

2010年3月26日金曜日

d. システムアクセス権限との許可の付与の過程、e. アウトプットの配布、f. オフラインストレージ、バックアップデータ、システムそして媒体への論理的アクセスの制限

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回はd. システムアクセス権限との許可の付与の過程、e. アウトプットの配布、f. オフラインストレージ、バックアップデータ、システムそして媒体への論理的アクセスの制限です。

d. The process to grant system access privileges and permissions:
d. システムアクセス権限との許可の付与の過程:

• All paths that allow access to significant information resources are controlled by the access control system and operating system facilities. Access requires users to provide their user ID and password.
Privileges are granted to authenticated users based on their user profiles.

• 全ての重要な情報源へのアクセスが許可されるパスはア クセスコントロールシステムとオペレーティングシステムの機能によってコントロールされている。
アクセスにはユーザーがユーザーIDとパスワードの入力を要求される。
権限認証されたユーザーは、ユーザープロファイルに基づいて付与される。

• The login session is terminated after three unsuccessful login attempts.
Terminated login sessions are logged for follow-up.

• 3回のログイン不成功があるとログインセッションは中止される。中止されたログインセッションはフォローアップのために記録 される。

e. Distribution of output:
e. アウトプットの配布:

• Access to computer processing output is provided to authorized individuals based on the classification of the information.
コンピュータの処理の出力へのアクセスは、情報の分類に基づき、認可された者に提供される。

• Processing outputs are stored in an area that reflects the classification of the information.
処理の出力は情報の分類を反映した場所に格納される。

f. Restriction of logical access to offline storage, backup data, systems, annd media:
f. オフラインストレージ、バックアップデータ、システムそして媒体への論理的アクセスの制限:

• Logical access to offline storage, backup data, systems, and media is limited to computer operations staff.
オフラインストレージやバックアップデータ、システ ムそして媒体への論理的なアクセスはコンピューター操作スタッフに限定される。

2010年3月25日木曜日

c. ユーザープロフィールの変更と更新

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回はc. ユーザープロフィールの変更と更新です。

c. Changes and updates to user profiles:
c. ユーザープロフィールの変更と更新:

• Changes and updates to self-registered customer accounts can be done by the individual user at any time on the entity’s Web site after the user has successfully logged onto the system. Changes are reflected immediately.
自己登録の顧客アカウントへの変更と更新は個々の ユーザーによって、ユーザーがシステムへのログオン成功後、いつでもウェブサイトで行われることができる。

• Unused customer accounts (no activity for six months) are purged by the system.
利用されない顧客 アカウント(6ヶ月間利用無し)はシステムにより削除される。
• Changes to other accounts and profiles are restricted to the security administration team and require the approval of the appropriate lineof-
business supervisor or customer account manager.

アカウントとプロフィールへの変更は管理チームに限定され、ビジネスラインの監督者または顧客アカウントのマネージャーの 承認が要求される。

• Accounts for terminated employees are deactivated upon notice of termination being received from the human resources team.
退職者のアカウントは人事チームから受け取る退職通知に基づき失効される。

a. 新規ユーザーの登録と承認、b. ユーザーの識別と認証

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回はa. 新規ユーザーの登録と承認とb. ユーザーの識別と認証です。 

a. Registration and authorization of new users:
a. 新規ユーザーの登録と承認:

• Customers can self-register on the entity’s Web site, under a secure
session in which they provide new user information and select an appropriate user identification (ID) and password. Privileges and authorizations associated with self-registered customer accounts provide specific limited system functionality.

• 顧客はWebサイトにて、新ユーザー情報と専用の個人識別(ID)とパスワードの選択が提供された安全な接続で、自身で登録できる。権限と許可は、特定の限定されたシステム機能が提供される自己 登録顧客アカウントと関連付けられる。

• The ability to create or modify users and user access privileges (other than the limited functionality “customer accounts”) is limited to the security administration team.
ユーザーとユーザーのアクセス権限(機能が限定された「お客様アカウント」以外)を作成または修正する能力はセキュリ ティ管理チームに限定される。

• The line-of-business supervisor authorizes access privilege change requests for employees and contractors. Customer access privileges beyond the default privileges granted during self-registration are approved by the customer account manager. Proper segregation of duties is considered in granting privileges.
ビジネスラインの監督者は従業員と契約者のアクセス権の変更要求 を承認する。顧客の、自己登録 中に付与される既定の権限を超えるアクセス権は、顧客アカウントマネージャーによって認定される。適切な職務の分離は権限の付与を考慮する。

b. Identification and authentication of users:
b. ユーザーの識別と認証:

• Users are required to log on to the entity’s network and application systems with their user ID and password before access is granted.
Unique user IDs are assigned to individual users. Passwords must contain at least six characters, one of which is nonalphanumeric.
Passwords are case sensitive and must be updated every 90 days.

ユーザーは、アクセスが付与される前に、ネットワークとアプリケーションシステムに彼らのユーザーIDとパスワードで ログオンすることが要求される。
一意のユーザーIDとパスワードはユーザー個人に割り当てられる。パスワードは最低でも6文字以上であり、一文字は英数 字以外である。
パ スワードは大文字小文字の区別をし、90日毎に更新されなければならない。

2010年3月24日水曜日

基準 3.0

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回は基準3.0です。 


Criteria 3.0
Procedures: The entity uses procedures to achieve its documented system security objectives in accordance with its defined policies.

基準 3.0手順:定義されたポリシーに従い、明文化されたシステムセキュリティの目的達成のために手順を使用する。

Criteria 3.1
Procedures exist to restrict logical access to the defined system including,
but not limited to, the following matters:
a. Registration and authorization of new users.
b. Identification and authentication of users.
c. The process to make changes and updates to user profiles.
d. The process to grant system access privileges and permissions.
e. Distribution of output restricted to authorized users.
f. Restriction of logical access to offline storage, backup data, systems,
and media.
g. Restriction of access to system configurations, superuser functionality,
master passwords, powerful utilities, and security devices (for example, firewalls).

基準 3.1手順は以下の事柄を含む(が以下の事柄に限定されない)定義されたシステムの制限された論理 的アクセスにより成り立つ。
a. 新規ユーザーの登録と承認
b. ユーザーの識別と認証
c. ユーザープロフィールの変更と更新の過程
d. システムアクセス権限との許可の付与の過程
e. アウトプットの配布は許可されたユーザーに制限
f. オフラインストレージ、バックアップデータ、システムそして媒体への論理的アクセスの制限
g. システム設定や特権ユーザー機能、マスターパスワード、強力なユーティリティ、そしてセキュリティデバイス(例:ファイアーウォール)への論理的アクセス の制限

2010年3月22日月曜日

FREE

先日のNHKクローズアップ現代でも紹介されていた「FREE」を購入しました。
あの「ロングテール」を世に知らしめたワイアード誌編集長のクリス・アンダーソン氏が、<無料>からお金を生みだす新戦略とうサブタイトルで無料の経済学を解説しています。
残念ながら、「FREE」という本はフリー(無料)ではなく、1,800円+消費税が必要です。(笑)

2010年3月20日土曜日

基準 2.5

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回は基準2.5です。 


Criteria 2.5
Changes that may affect system security are communicated to management
and users who will be affected.

基準 2.5
システムセキュリティに影響するおそれのある変更は、影響を受ける経営者とユーザーへ伝達される。

Illustrative Controls

Changes that may affect customers and users and their security obligations or the entity’s security commitments are highlighted on the entity’s Web site.
Changes that may affect system security are reviewed and approved by affected customers under the provisions of the standard services agreement before implementation of the proposed change.
Planned changes to system components and the scheduling of those changes are reviewed as part of the monthly IT steering committee meetings.
Changes to system components, including those that may affect system security, require the approval of the security administrator before implementation.
There is periodic communication of changes, including changes that affect system security.
Changes that affect system security are incorporated into the entity’s ongoing security awareness program.

統制の実例
顧客とユーザーに影響する変更とセキュリティ義務またはセキュリティの約束はWebサイトで強調されなければならな い。
システムセ キュリティに影響するおそれのある変更は、提案された変更が実装される前に、提供される標準的なサービス合意の規定の影響を受ける顧客によって吟味され、 承認される。
計画されたシステム構成とへの変更とそれらの変更予定は月例IT運営委 員会のミーティングの一部として吟味される。
システムセキュリティに影響するおそれのあるものを含むシステム構成への変更は実装前に、セキュリティ管理者の承認が要 求される。
システ ムセキュリティに影響のあるものを含む変更の伝達が定期的にある。
システムセキュリティに影響のある変更は継続的なセキュリティ喚起プログラムに組み入れられる。

2010年3月18日木曜日

基準 2.4

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回は基準2.4です。 


Criteria 2.4
The process for informing the entity about breaches of the system security and for submitting complaints is communicated to authorized users.

基準 2.4システムセキュリティの違反通知と不平の通知手順は承認されたユーザーに伝達されなければならない。

Illustrative Controls
The process for customers and external users to inform the entity of possible security breaches and other incidents is posted on the entity’s Web site and/or is provided as part of the new user welcome kit.
The entity’s security awareness program includes information concerning the identification of possible security breaches and the process for  informing the security administration team.
Documented procedures exist for the identification and escalation of security breaches, and other incidents.

統制の実例
顧客と外部のユーザーのために、起こりうるセキュリティ違反やその他の事故を通知する手続はWebサイトに掲載され (るか/かつ)新ユーザーの受入キットの一部として供給される。
セキュリティ喚起プログラムは起こりうるセキュリティ違反の本人確認に関する情報 とセキュリティ管理チームへの通知の手続を含む。
本人確認や
セキュリティ違反、その 他の事故のエスカレーションについて、手続文書が存在する。

2010年3月17日水曜日

基準 2.3

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回は基準2.3です。
 

Criteria 2.3
Responsibility and accountability for the entity’s system security policies and changes and updates to those policies are communicated to entity personnel responsible for implementing them.

基準 2.3システムセキュリティポリシーとそれらのポリシーの変更と更新の責務と説明責任は、実装責任のある部署へ伝達される。

Illustrative Controls
The security administration team is responsible for implementing the entity’s security policies under the direction of the CIO.
The security administration team has custody of and is responsible for the day-to-day maintenance of the entity’s security policies, and recommends changes to the CIO and the IT steering committee.

統制 の実例
セキュリティ管理チームはCIOの指示のもと、セキュリティポリシー を実装する責任がある。
セキュリティ管理チームは日々のセキュリティポリシーの維持の管理権限と責任を持つ。また、CIOとIT運営委員会への 改善を推奨する。

基準 2.2

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回は基準2.2です。


Criteria 2.2
The security obligations of users and the entity’s security commitments to users are communicated to authorized users.

基準 2.2ユーザーのセキュリティ義務とユーザーに対するセキュリ ティ責任は承認されたユーザーに伝達される。

Illustrative Controls
The entity’s security commitments and required security obligations of its customers and other external users are posted on the entity’s Web site and/or as part of the entity’s standard services agreement.
For its internal users (employees and contractors), the entity’s policies relating to security are reviewed with new employees and contractors as part of their orientation, and the key elements of the policies and their impact on the employee are discussed. New employees must sign a  statement signifying that they have read, understand, and will follow these policies. Each year, as part of their performance review, employees must reconfirm their understanding of and compliance with the entity’s security policies. Security obligations of contractors are detailed in their contracts.
A security awareness program has been implemented to communicate the entity’s IT security policies to employees.
The entity publishes its IT security policies on its corporate intranet.

統制の実例
顧客や他の外部のユーザーのセ キュリティ責任と要求されるセキュリティ義務は、Webサイトまたは標準サービス合意の一部 あるいはその両方を用いて通知される。
内部利用者(従業員と契約者)のために、セ キュリティに関連するポリシーは新しい従業員と契約者によりオリエンテーションの一部として学習される。そして、ポリシーの鍵となる要素とそれらの従業員 への影響は話し合われる。新規の従業員は彼らがこれらのポリシーを読み終え、理解し、従うことを示す声明書に署名しなければならない。
毎年、業績評価の一部として、従業員は セキュリティポリシーを理解し、遵守していることを再確認しなければならない。
契約者のセキュリティ義務は契約書に詳述される。
セキュリティ喚起プログラムは従業員への ITセキュリティポリシーの伝達の中に実装されている。
ITセキュリティポリシーはイントラネット上に掲載されている。

2010年3月15日月曜日

基準 2.1

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回から基準2.xシリーズに入ります。

2.0 Communications: The entity communicates its defined system security policies to authorized users.
2.0 伝達:定義されたシステムセキュリティーポリシーを承認されたユーザーへ伝達する

Criteria 2.1

The entity has prepared an objective description of the system and its boundaries and communicated such description to authorized users.

基準 2.1
システムとその境界の客観的説明を用意する。そして承認されたユーザーにそれらの説明を伝達する。

Illustrative Controls
For its non–e-commerce system, the entity has provided a system description to authorized users. [For an example of a system description for a non–e-commerce based system, refer to Appendix B (paragraph .43).]
For its e-commerce system, the entity has posted a system description on its Web site. [For an example of a system description for an e-commerce system, refer to Appendix A (paragraph .42).]

統制の実例
非Eコマースシステムでは、承認されたユーザーへシステム の説明を供給する。[非Eコマースベースのシステム説明の例は付録Bの43節を参照のこと]
Eコマースシステムでは、システム説明を自身のWebサイトへ投稿する。[Eコマースシステムのシステム説明の例は付録Aの42節を参照のこ と]

2010年3月14日日曜日

社長は「人」に頼るな、「仕組み」をつくれ!

しばらく前に出た本ですが、社長は「人」に頼るな、「仕組み」をつくれ!という本を読みました。



会社は仕組みで動かすことが重要で、中小企業は営業、マーケティング、社内マネジメント、人材採用、ミッションの5つを仕組み化することが大切だとしています。特に、人材採用についてはいわゆる人事の本に書かれているよりも実戦的な内容が書かれていると感じました。

内部監査は経営者が作った仕組みが上手く機能しているかを検証する仕事です。この本は経営者向けの内容ですが、内部監査人にとっても非常に参考になると 思いました。

2010年3月13日土曜日

卒業式

有給休暇をとって、こどもの卒業式に出席しました。普通の公立中学の卒業式です。
生徒の名前を涙ながらに読み上げる先生たちの思いの深さは感動的でした。
こんなに熱い先生たちに指導されたこどもたちはとても幸 せだと思いました。

世間では、「公立学校は荒れている 」とか「公立学校はレベルが低い」といった風評があります。
公立学校に限らず、とかく、学校というものはいろんな噂がでるものだと思いますが、結局、実際に入ってみなければ詳しいことはわかりません。仮に事前に、一般的な評判を知ったとしても、自分のこどもにとって良いか悪いかは、結局のところ、本人にしかわからないだろうと思います。

世の中には事前にわからないことがたくさんあります。噂も嘘もたくさんあります。学校選びも内部監査も、風評や先入観に左右されず、本質を見極めることが大切だと改めて思いました。

2010年3月11日木曜日

基準 1.3

今回は、「安全性の原則と基準の表」の1.0 システムの方針を定義し文書化するの勝手訳その3です。


Criteria 1.3
Responsibility and accountability for the entity’s system security policies, and changes and updates to those policies, are assigned.
 
基準 1.3
シス テムのセキュリティポリシー、それらのポリシーの変更とアップデートとの責務と説明責任が割り当てられる。

Illustrative Controls
Management has assigned responsibilities for the maintenance and enforcement of the entity security policy to the chief information officer (CIO). Others on the executive committee assist in the review, update, and approval of the policy as outlined in the executive committee handbook.
Ownership and custody of significant information resources (for example, data, programs, and transactions) and responsibility for establishing and maintaining security over such resources is defined.

統制の実例
経営者は最高情報責任者にセ キュリティポリシーの維持と施行の責任を割り当てる。他の執行役はレビューを補佐し、アップ デートし、執行委員会の手引きの概説としてのポリシーを承認する。重要な情報源(例えば、データ、プログラム、そして取引)とそれらのセキュリティの確立 と維持の責任の所有権と管理は定義される。

次回から基準 2.0に入ります。

2010年3月10日水曜日

基準 1.2

今回は、「安全性の原則と基準の表」の1.0 システムの方針を定義し文書化するの勝手訳その2です。
 

Criteria 1.2
The entity’s security policies include, but may not be limited to,
the following matters:
a. Identification and documentation of the security requirements of authorized users.
b. Allowing access, the nature of that access, and who authorizes such access.
c. Preventing unauthorized access.
d. The procedures to add new users, modify the access levels of existing  users, and remove users who no longer need access.
e. Assignment of responsibility and accountability for system security.
f. Assignment of responsibility and accountability for system changes and maintenance.
g. Testing, evaluating, and authorizing system components before implementation.
h. Addressing how complaints and requests relating to security issues are resolved.
i. The procedures to handle security breaches and other incidents.
j. Provision for allocation for training and other resources to support its system security policies.
k. Provision for the handling of exceptions and situations not specifically addressed in its system security policies.
l. Provision for the identification of, and consistency with, applicable
laws and regulations, defined commitments, service-level agreements, and other contracts.

基準 1.2
セキュリティーポリシーは以下のものを含 むがそれらに限定されるものではない:
a.承認されたユーザーのセキュリティ要件の確認と記録
b.アクセス許可、アクセスの性質、そして、誰がそのようなアクセスを 認めたか
c.未承 認のアクセスを防ぐ
d.新規にユーザーとして加わる手続、既存ユーザーのアクセスレベルの変更、そして、もはやアクセスの必要のないユー ザーの削除
e.システムのセキュリティの責務と説明責任の割り当て
f.システムの変更と維持の責務と説明責任の割り当て
g.実装前のシステムコンポーネントの試験、評価、そして認証
h. どのようにしてセキュリティに関する不平と要求が解決されたかの説明
i.セキュリティ違反や他の事件を取り扱う手順
j.システムセキュリティポリシーをサポートする訓練とリソースの割り当ての提供
k.例外やシステムセキュリティポリシーに特に述べられていないことについての取扱いの提供
l.適用される法律や規則、確約、サービスレベルに関する合意、その他契約に対する一致や一貫性の提供

Illustrative Controls
The entity’s documented security policies contain the elements set
out in criterion 1.2.

統制の実例
文書化されたセキュリティポリシーは基準1.2のからの要素一式を含む

…基準の方が統制の実例よりも細かい気がします。

2010年3月9日火曜日

基準 1.1

今回は、「安全性の原則と基準の表」の1.0 システムの方針を定義し文書化するの勝手訳その1です。

1.0 Policies: The entity defines and documents its policies for the security of its system.
1.0 ポリシー:システムの方針を定義し文書化する

Criteria 1.1
The entity’s security policies are established and periodically reviewed
and approved by a designated individual or group.

基準 1.1
セキュリティーポリシーは決められた個人またはグループによって定期的にレビューされ改善される。

Illustrative Controls (fn 4)
(fn 4) Illustrative controls are presented as examples only. It is the practitioner’s responsibility to identify and document the policies, procedures, and controls actually in place at the entity under examination.
The entity’s documented systems development and acquisition process
includes procedures to identify and document authorized users of the system and their security requirements.
User requirements are documented in service-level agreements or other documents.
The security officer reviews security policies annually and submits proposed changes for approval by the information technology (IT) standards committee.


統制の実例 (fn 4)
(fn 4) 統制の実例は例示のみとして提示される。実際に試用するポリシーや手続そして統制を特定し文書化することは実務家の責任である。
ドキュメ ント化されたシステム開発と取得のプロセスには、システムとそれらの安全性の要求事項について承認されたユーザーであることを特定し記録する手続を含む。
ユーザーの要求事項はいくつかのサービルレベル合意書または他の文書に記録される。
セキュリティーオフィサーは毎年セキュリ ティーポリシーをレビューし、情報技術(IT)標準委員会による改善のための変更提案を提示する。

このように、基準と統制の実例が対になって解説されていきます。

2010年3月8日月曜日

ポーターの一般戦略

※先週末から事情により投稿できない状況でした。本日より再開します。

久しぶりにCIA試験PartIV関連のことを書きます。

戦略的マネジメントの競争戦略 としてポーターの一般戦略というものがあります。これは試験対策的には完全に理解し、暗記していなければならないものです。簡単に解説してみましょう。

ポー ターの一般戦略では
  • 「競争の優位性の源泉」と「競争の範囲」を軸に戦略を整理する。
  • 競争の優位性には、自社の 製品やサービスが差別化できる(高くても売れる)かコストリーダーシップをとれる(誰よりも安く売れる)かの2点がある。
  • 競争の範囲に は市場全体を狙うのかニッチ市場をねらうの2点がある。
これらを組み合わせると下図のようになります。



_コストリーダーシップ____差 別化



_コスト集中化______差別化集中化


____低←---コスト---→高

それぞれの特徴は、以下のとおりです。
  1. コ ストリーダーシップ戦略:低コスト・大量生産
  2. 差別化戦略:こだわり・高級ブランドなど
  3. コスト集中化戦略:若年層向 け・低価格
  4. 差別化集中化戦略:地域限定・富裕層向け
3と4は集中化戦略としてまとめるケースもあります。とても ベーシックなフレームワークなので確実に理解しておきましょう。

2010年3月4日木曜日

Security Principle and Criteria

引き続き、勝手訳です。後半は表の内容に入るため、順序が若干変わります。

Security Principle and Criteria(安全性の原則と基準)
  • .16 The security principle refers to the protection of the system components from unauthorized access, both logical and physical. In e-commerce and other systems, the respective parties wish to ensure that information provided is available only to those individuals who need access to complete the transaction or services, or follow up on questions or issues that may arise. Information provided through these systems is susceptible to unauthorized access during transmission and while it is stored on the other party’s systems. Limiting access to the system components helps prevent potential abuse of system components, theft of resources, misuse of software, and improper access to, use, alteration, destruction, or disclosure of information. Key elements for the protection of system components include permitting authorized access and preventing unauthorized access to those components.
  • .16 安全性の原則は、論理的と物理的な未承認のアクセスからのシステムコンポーネントの防御について言及している。Eコマースやそれ以外のシステムにおいて、 各当事者は、取引やサービスを完了するためにアクセスする必要がある個人または発生するであろう質問や不明点のフォローアップにだけ情報提供を有効にしたい。これらのシステムを介して提供される情報は、伝送中または別のシステムに格納されている間に不正にアクセスされやすい。システムコンポーネントへのア クセスを限定することは システムコンポーネントの潜在的な悪用や資源の窃用、ソフトウェアの誤用、そして使用・改変・破壊・情報暴露のための不正アクセ スを防ぐことに役立つ。システムコンポーネントの保護の主な要素は承認されたアクセスを許可することと未承認のアクセスを防ぐことが含まれる。
Security Principle and Criteria Table(安全性の原則と基準の表)
  • .17 The system is protected against unauthorized access (both physical and logical).
  • .17 システムは未承認のアクセス(物理的・論理的)から保護されている
※以下、項 目数の多い表であるため後日整理します。(今回は表中のポリシーのみ抜粋)
    • 1.0 Policies: The entity defines and documents its policies for the security of its system.
    • 1.0 ポリシー:システムの方針を定義し文書化する
    • 2.0 Communications: The entity communicates its defined system security policies to authorized users.
    • 2.0 伝達:定義されたシステム安全性方針を承認されたユーザーへ伝達する
    • 3.0 Procedures: The entity uses procedures to achieve its documented system security objectives in accordance with its defined policies.
    • 3.0 手順:定義され たポリシーに基づいて、その文書化されたシステムの安全性目標を達成するために手順を利用する
    • 4.0 Monitoring: The entity monitors the system and takes action to maintain compliance with its defined system security policies.
    • 4.0 監視:システムを監視し、行動することで定義された安全性方針を守ることを維持する。
今回のポイントは、
  • シ ステムの保護にはアクセスの限定が必要である。
  • 安全性の原則と基準にはポリシー、伝達、手順、監視の観点がある
だ と思われます。

2010年3月3日水曜日

Principles and Criteria

引き続き、勝手訳です。今回からPrinciples and Criteriaの章に入ります。

Principles and Criteria(原則と基準)

  • .14 The Trust Services Principles and Criteria are presented in a two-column format. The first column identifies the criteria for each principle—the attributes that the entity must meet to be able to demonstrate that it has achieved the principle. The second column provides illustrative controls. These are examples of controls that the entity might have in place to meet the criteria. Alternative and/or additional controls can also be used. Illustrative controls are presented as examples only. It is the practitioner’s responsibility to identify and document the policies, procedures, and controls actually in place at the entity under examination.
  • .14 信用提供の原則と基準は2列の書式で呈示されている。1列目は原則に対する基準を特定する。-それは原則の達成を示すことが可能であることを満たす属性で ある。2列目は統制の実例を提供する。これらは基準に合致する代わりに持っても良い統制の例である。相互に、そして/または、追加的な統制を使うことも可能である。統制の実例は文書で示された方針や手続、そして、実地評価である。
  • .15 As discussed earlier, in certain e-commerce environments, the terms and conditions, including the rights, responsibilities, and commitments of both parties, are implicit in the user’s completion of a transaction on the Web site. To meet the underlying intent of the “Communications” category of the criteria in such circumstances, the policies and processes required by each of the “Communications” criteria should be disclosed on the entity’s Web site. Examples of such disclosures for each of the Trust Services principles are contained in Appendix A [paragraph .42].
  • .15 先に議論されたように、特定のEコマースの環境においては、権利や責任そして両者の約束を含む条件が、ユーザーのWebサイトでの取引の完了にて黙示され ている。そのような環境の基準である"コミュニケーション"分野での基本目的に見合うために、"コミュニケーション"基準により要求される方針と手順は、Webサイトにて開示されるべきである。信用提供の原則ごとのそのような開示例は付録A(42節)に収録されている。
今回の ポイントは、
  • 原則に対して基準があり、基準に対して実例がある。
  • 実例に従うことにより基準は満たされる。
  • EコマースのWebサイトでは"コミュニケーション"の基準により要求される方針と手順が開示されるべきである。
だと思われます。

2010年3月2日火曜日

Trust Services—Offerings of SysTrust and WebTrust

Trust Services—Offerings of SysTrust and WebTrust(信用提供-SysTrustとWebTrustの提供)
  • .12 SysTrust and WebTrust are two specific services developed by the AICPA that are based on the Trust Services Principles and Criteria. The Trust Services Principles and Criteria may, however, be used to offer services other than SysTrust and WebTrust.
  • .12 SysTrustとWebTrustはAICPAによって開発された二つの具体的なサービスである。それは信用提供の原則と基準に基づいている。しかしな がら、信用提供の原則と基準は、SysTrustとWebTrust以外のサービスの提供に用いられるかもしれない。
  • .13 When a practitioner intends to provide assurance from SysTrust or WebTrust engagements, he or she needs to also follow the performance and reporting standards set forth in Chapter 1, “Attest Engagements,” of SSAE No. 10, Attestation Standards: Revision and Recodification (AICPA, Professional Standards, vol.1, AT sec. 101), as amended. In order to issue SysTrust or WebTrust reports, CPA firms must be licensed by the AICPA.
  • .13 実務家がSysTrustとWebTrust契約から保証を提供しようとする際、彼または彼女は、第1節で打ち出されているパフォーマンスと報告の標準 と、立証契約の標準の声明(SSAE)No.10の"立証契約”と立証標準:改正版である「改訂と再編」(AICPA、専門家の標準 vol.1、AT sec. 101)にも従う必要がある。SysTrustとWebTrustの報告書を発行するために、公認会計士法人はAICPAに認可されなければならない。

今 回のポイントは、
  • 信用提供の原則と基準はSysTrustとWebTrust以外にも利用される。
  • 保証業務を 行うにはパフォーマンスと報告の標準と、立証契約の標準にも従う必要がある。
  • SysTrustとWebTrustの報告書を発行する公 認会計士法人はAICPAの認可が必要である。

2010年3月1日月曜日

Foundation for Trust Services—Trust Services Principles and Criteria

引き続き、勝手訳です。

Foundation for Trust Services—Trust Services Principles and Criteria(信用提供の基礎—信用提供の原則と基準)

  • .09 The Trust Services Principles and Criteria set forth herein are organized into four broad areas:
    • a. Policies. The entity has defined and documented its policies(fn 1) relevant to the particular principle.
    • b. Communications. The entity has communicated its defined policies to authorized users.
    • c. Procedures. The entity uses procedures to achieve its objectives in accordance with its defined policies.
    • d. Monitoring. The entity monitors the system and takes action to maintain compliance with its defined policies.
      • fn 1 As noted in paragraph .07, the term policies refers to written statements which communicate management's intent, objectives, requirements, responsibilities, and/or standards for a particular subject. Some policies may be explicitly described as such, being contained in policy manuals or similarly labeled documents. However, some policies may be contained in documents without such explicit labeling, including for example, notices or reports to employees or outside parties.
  • .09 信用提供の原則と基準は以下の4つに体系化される。
    • a. 方針。特定の原則に関連したその方針(fn 1)が定義され記述される。
    • b. 伝達。定義された方針が許可された利用者へ伝達される。
    • c. 手続。定義された方針に従い目的を達成するために手続が使われる。
    • d. 監視。システムを監視し、その定義された方針により法を守ることを維持する行動をとる。
      • fn 1 .07節に書かれているように、「方針」という用語は記述された声明のことである。声明とは経営者の意思や目的や要求や責任、または/あるいは特定の課題 に対する標準の伝達である。いくつかの方針は明確に、方針マニュアルや同様に標識した文書として記述されているものに含ま れ るかもしれない。しかしならが、いくつかの方針はそのような明確な標識されていない、例えば、注意や従業員または外部への報告に含まれるかもしれない。

  • .10 A two-column format has been used to present and discuss the criteria. The first column presents the criteria—the attributes that the entity must meet to be able to demonstrate that it has achieved the principle. The second column provides illustrative controls. These are examples of controls that the entity might have in place to conform to the criteria. Alternative and additional controls may also be appropriate. In addition, examples of system descriptions for both e-commerce and non-e-commerce systems are included in Appendix A [paragraph .42] and Appendix B [paragraph .43], respectively, and Appendix A [paragraph .42] also includes sample disclosures for e-commerce systems.
  • .10 基準を示し議論するために2列の書式が使用されてきた。1列目は基準を表す。-それは原則を達成するに合致する属性である。2列目は統制の実例を提供す る。これらは基準の代わりに従うべき統制の例である。相互のそして付加的な統制も該当する。加えて、eコマースとeコマース以外の両方のシステム記述の実 例は付録A(42節)と付録B(43節)それぞれに、そして付録A(42節)はeコマースシステムの開示例も含む。

  • .11 The following principles and related criteria have been developed by the AICPA/CICA for use by practitioners in the performance of Trust Services engagements such as SysTrust and WebTrust.
    • a. Security. The system (fn 2) is protected against unauthorized access (both physical and logical).
    • b. Availability. The system is available for operation and use as committed or agreed.
    • c. Processing integrity. System processing is complete, accurate, timely, and authorized.
    • d. Confidentiality. Information designated as confidential is protected as committed or agreed.
    • e. Privacy. Personal information (fn 3) is collected, used, retained, and disclosed in conformity with the commitments in the entity’s privacy notice and with criteria set forth in Generally Accepted Privacy Principles issued by the AICPA/CICA (found in Appendix D [paragraph .45]).
      • fn 2 A system consists of five key components organized to achieve a specified objective. The five components are categorized as follows:
        (a) infrastructure (facilities, equipment, and networks), (b) software (systems, applications, and utilities), (c) people (developers,
        operators, users, and managers), (d) procedures (automated and manual), and (e) data (transaction streams, files, databases, and tables).
      • fn 3 Personal information is information that is, or can be, about or related to an identifiable individual.
  • .11 以下の原則と関連する基準は、AICPA/CICAによって、実務家がSysTrustとWebTrustといった信用提供契約で活躍する際に利用される ために開発された。
    • a. 安全性。システム(fn 2)は未承認のアクセス(物理的論理的の双方)に対して守られている。
    • b. 可用性。システムは約束または合意された操作し利用することができる。
    • c. 処理の完全性。システムの処理は完全であり、正確であり、適時であり、承認されている。
    • d. 機密性。情報は約束または合意されたとおりに機密が保護されていることを示されている。
    • 秘匿。個人情報(fn 3)は対象の秘匿注意事項と一般に受け入れられ従うべきAICPA/CICA の秘匿原則(付録D [45節])の約束と一致して、収集され、利用され、保持され、そして開示される。
      • fn 2 システムは特定の目的を達成するために組織された5つのキーコンポーネントから成る。5つのコンポーネントは以下のように分類される。(a)インフラ(事 務所設備、機器、そしてネットワーク)、(b)ソフトウェア(システム、アプリケーション、そしてユーティリティ)、(c)人(開発者、オペレーター、 ユーザー、そして監督者)、(d)手続(自動と手動)(e)データ(取引の流れファイル、データベース、そしてテーブル)
      • fn 3 個人情報とは個人を特定するまたは個人の特定に関連する(あるいは、するこ とが可能な)情報である。

相変わらず、日本語にしても難解ですが、ポイントは、
  • 信 用提供の原則は「方針」、「伝達」、「手続」、「監視」の4つである。
  • 基準は実例とセットである。
  • 信用提供の原則に 関連した基準には「システムの安全性」、「システムの可用性」、「情報の機密性」、「個人情報の秘匿」がある。
だと思われます。